Злоумышленники, распространяющие новый гибридный троян GozNym, не теряют времени зря. Спустя всего неделю после масштабной кампании против североамериканских банков, вредоносное ПО добралось до Европы. По данным экспертов IBM X-Force, новая модификация трояна нацелена на семнадцать финансовых организаций в Польше и один банк в Португалии.
В ходе атаки при попытке зайти на сайт банка жертва перенаправляется на подконтрольный злоумышленникам ресурс. Данный метод очень эффективен, поскольку позволяет успешно обходить реализованные банками механизмы защиты. Ничего не подозревающий пользователь сразу же перенаправляется на вредоносный ресурс, так и не попав на настоящий сайт финансовой организации.
Подконтрольный злоумышленникам ресурс является точной копией банковского сайта, и жертва даже не догадывается об обмане. С его помощью злоумышленники выманивают у пользователя секретные коды авторизации, а банк так и остается в неведении. Данная тактика доказала свою эффективность в атаках с использованием банковских троянов Dyre и Dridex, и на ее основе создатели GozNym разработали собственную схему.
Атака с применением GozNym осуществляется в два этапа. Когда жертва пытается зайти на один из банковских сайтов из списка трояна, GozNym сразу же перенаправляет ее на соответствующую поддельную страницу. Для того чтобы пользователь не заметил подмену, в адресной строке указывается URL-адрес настоящего сайта и SSL-сертификат. Как и в других подобных атаках для сохранения SSL-соединения банку отправляется запрос empty/idle, однако на этом схожесть заканчивается.
Поддельная страница содержит верхний пустой слой. Пустая страница представляет собой простой CSS-трюк, когда пустой div-элемент накладывается поверх всего экрана. Подобная «завеса» ничего не удаляет из исходного кода страницы, но скрывает ее вредоносный контент от глаз пользователя. В ходе второй фазы атаки верхний слой страницы удаляется, и жертве открывается вредоносный контент.
Как сообщают в IBM X-Force, GozNym связывается с двумя C&C-серверами, один из которых находится в Москве.
Источник:Гибридный банковский троян GozNym атакует пользователей в Европе
